Professional Documents
Culture Documents
Melanie Langlois
Universite dOttawa
Decembre 1999
Resume
1 Introduction
1
fait, le code de Vernam est le seul qui soit mathematiquement reconnu comme
inviolable, mais le fait de devoir utiliser une clef differente pour chaque chiffrement
est a lorigine dun probleme dordre pratique considerable connu sous le nom
de probleme de distribution des clefs secretes. Bien sur il est possible pour deux
personnes detablir pour chaque nouveau message a chiffrer une nouvelle clef,
mais le probleme auquel elles doivent faire face est la transmission de cette clef de
lune a lautre, car cette clef ne doit demeurer connue que delles et ne peut donc
pas etre envoyee par un canal publique vulnerable a toutes sortes dinterceptions
passives. Les mathematiques offrent toutefois des solutions, bien quimparfaites,
a ce probleme, par exemple sous la forme du systeme de clefs publiques introduit
en 1976. Par ailleurs, la physique sest aussi penchee sur ce probleme car, apres
tout, linformation echangee lors de la distribution dune clef est souvent transmise
par un moyen physique: la lumiere, le son, les ondes radio ou encore les electrons.
Lespionnage peut alors etre vu comme etant lacquisition de mesures faites sur
le moyen physique utilise pour la transmission. En theorie, lacquisition de telles
mesures perturbe letat de ce moyen physique permettant ainsi aux utilisateurs
deffectuer leurs propres mesures afin de determiner sils sont espionnes ou non.
En pratique toutefois, tous ces canaux classiques peuvent etre espionnes de facon
passive sans que les utilisateurs legitimes ne soient en mesure de le determiner.
Lavantage appartient ici a celui qui possede la technologie la plus avancee. Ce
que la physique, ou plus particulierement, la mecanique quantique propose pour
tenter de resoudre le probleme est de concevoir des canaux de communication, les
canaux quantiques, ayant la propriete detre inviolable, cest-a-dire que sil y a
espionnage sur un tel canal, alors il ne peut avoir lieu sans etre detecte.
Cest cette perspective offerte par la cryptographie quantique que jai voulu
etudier. La cryptographie quantique suggere cependant plusieurs autres applica-
tions toutes aussi interessantes et jai donc decide de les presenter dans le bref
historique qui suit cet introduction. Jexpliquerai ensuite comment un protocole
de distribution de clefs secretes peut etre base sur les proprietes des photons pola-
rises et je montrerai comment un tel protocole, BB84, peut etre mis en pratique.
2 Historique
2
Fig. 1 Prototype de Bennett et Brassard construit en 1989 au laboratoire de
recherche de IBM T.J.Watson.
En comparant ces deux lignes du temps, on remarque que depuis que Bennett
et Brassard ont permis a la cryptographie quantique de passer de la fiction a la
realite, les chercheurs ont deploye des efforts non seulement pour lavancement
des protocoles de distribution des clefs secretes, mais aussi pour donner naissance
3
Fig. 2 Ligne du temps de 1970 a 1989.
1970 Wiesner
Billets de banques infalsifiables et canaux multiplexeurs
1985
1986
1987 Crepeau
Oblivious transfert
1988
4
Fig. 3 Ligne du temps de 1990 a 1997.
5
a plusieurs autres applications. Parmi celles-ci, notons lalgorithme quantique de
recherche propose en 1996 par K. Grover. Bien que cette application demeure
encore impraticable, elle nen est pas moins stupefiante. En fait, lalgorithme de
Grover [6] applique a la recherche exhaustive dune clef utilisee pour chiffrer un
message avec un algorithme symetrique permettrait, theoriquement, daugmenter
significativement la vitesse de recherche de la clef pour une paire (message, chiffre)
donnee. Par exemple, pour DES et une paire (message, chiffre), on obtiendrait la
solution unique apres en moyenne 185 millions de chiffrements au lieu des 255
3,6 1016 chiffrements requis pour mener une attaque exhaustive classique!
La physique classique dont lobjet est letude des corps et des phenomenes ma-
croscopiques, etablit quil est possible de mesurer nimporte quelle propriete dun
certain objet sans quelle en soit affectee. La physique quantique propose quant a
elle une theorie gouvernant tous les objets, autant au niveau macroscopique que
microscopique, bien que ses consequences soient beaucoup plus evidentes pour les
systemes microscopiques, comme dans le cas des particules subatomiques. En fait,
en physique quantique, laction de mesurer une certaine propriete dun systeme
microscopique nest pas un processus passif et exterieur au systeme, mais fait par-
tie integrante de la mecanique quantique de ce systeme. Ainsi, en construisant un
canal quantique base sur un phenomene quantique particulier, on pourrait esperer
supprimer la possibilite dun espionnage actif ou passif, ou, plus precisement, quil
soit impossible de mener une attaque sans etre detecte avec une tres grande pro-
babilite.
6
absorbes ou transmis selon de leur polarisation:
Les points suivants, qui se rapportent au 3ieme cas donne plus haut, sont a
remarquer:
7
Par ailleurs, on peut representer les qubits sous forme vectorielle en utilisant un
vecteur de deux composantes, q = (,). Ces vecteurs sont tous de norme 1 et
forment un espace de Hilbert de dimension 2. Ainsi, pour lexemple precedent,
q = (cos(), sin()) = cos()r1 + sin()r2 ou r1 = (1,0) et r2 = (0,1) sont les
vecteurs de base de lespace de Hilbert et representent respectivement les pola-
risations horizontale et verticale. Lorsque lon fait passer le photon a travers un
filtre polarisant avec une orientation horizontale ou vertical on dit que lon mesure
la polarisation du photon. Effectuer cette mesure sur les vecteurs de lespace de
Hilbert correspond a la decomposition de lespace de Hilbert en ses sous-espaces
orthogonaux. Pour un systeme de photons polarises, le nombre de sous-espaces
orthogonaux est 2 et ces sous-espaces peuvent etre decrit selon les vecteurs dune
des trois bases suivantes:
1. Alice genere et envoie a Bob par le canal quantique une suite de photons
8
polarises dont la polarisation est choisie aleatoirement parmi les elements
des bases rectilineaire et circulaire.
2. Bob recoit les photons et pour chacun decide au hasard de mesurer la pola-
risation selon la base rectilineaire ou circulaire.
3. Bob annonce a Alice par le canal classique la base choisie pour mesurer la
polarisation de chacun des photons.
4. Alice et Bob comparent leurs resultats en communiquant par la canal clas-
sique et rejettent tous les cas ou Bob na pas fait le bon choix pour la base.
5. Alice et Bob determinent sils ont ete espionnes, par exemple en compa-
rant publiquement quelques donnees dun sous-ensemble choisi aleatoirement
parmi lensemble de leurs donnees restantes apres letape 4.
6. Si le test montre de maniere evidente quil y a eu espionnage, alors Alice et
Bob rejettent les donnees echangees et recommencent a letape 1. Autrement
Alice et Bob conservent les donnees restantes de letape 5 et interpretent
alors la polarisation horizontale et circulaire-droite comme un bit de valeur
0 et la polarisation verticale et circulaire-gauche comme un bit de valeur 1.
Ces bits forment la clef secrete connue dAlice et Bob seulement.
To review:
Les deux dernieres lignes de cet exemple montre quAlice et Bob nont pas ete
espionnes puisque les donnees comparees concordent parfaitement. Les donnees
1. Voir notes a la suite des references pour les details
9
restantes, soient celles illustrees par le symbole ., sont celle quAlice et Bob
utiliserons pour former leur clef secrete. Si Alice et Bob ont determine quun
bit de valeur 0 serait donne par les polarisations horizontale et circulaire droite
et quun bit de valeur 1 serait donne par les polarisations vertical et circulaire
gauche, alors leur clef secrete dans cet exemple serait: 101000111.
La section qui suit explique comment lespionnage peut avoir lieu sur le canal
quantique et comment Alice et Bob, grace au principe dincertitude de Heisenberg,
peuvent le detecter.
3.3 Espionnage
Pour obtenir de linformation sur la clef secrete quAlice et Bob tentent dechanger,
Eve doit intercepter les photons envoyes par Alice, puis, pour chacun des photons
interceptes, mesurer sa polarisation selon lune des deux bases, rectilineaire ou
circulaire, et finalement envoyer un nouveau photon polarise a Bob pour chaque
photon intercepte. Cette attaque, qui porte le nom de intercept/resend attack,
est pratiquement impossible a realiser avec succes, et ce peu importe la puis-
sance de calcul dont dispose Eve. En fait, tout comme Bob, Eve doit decider pour
chaque photon intercepte de mesurer sa polarisation selon une des deux bases,
et tout comme Bob, Eve ignore la base choisie par Alice. Ainsi, a cause du prin-
cipe dincertitude dHeisenberg et du fait que les deux bases forment une paire
de proprietes complementaires, tout espion menant cette attaque cours le risque
dintroduire des incoherences dans les donnees dAlice et Bob. En fait, Eve en
interceptant et mesurant la polarisation des photons envoyes par Alice, fera en
moyenne 1 fois sur 2 le mauvais choix pour la base. La polarisation se comporte
alors de facon aleatoire et meme si Eve envoie a Bob un photon de polarisation
en accord avec le resultat de sa mesure, elle enverra 1 fois sur 2 un mauvais
photon. Ainsi, Eve introduit une erreur dans les donnees de Bob 1 fois sur 4 car
Bob mesurera ce mauvais photon dans la bonne base (celle choisie par Alice)
1 fois sur 2. Si Eve intercepte tous les photons envoyes par Alice, il y aura donc
incoherence entre les donnees dAlice et Bob dans 25% des donnees echangees. En
comparant un sous-ensemble de leurs donnees, Alice et Bob sont donc en mesure
de determiner avec quasi-certitude sil y a eu espionnage sur le canal quantique.
10
lechange a reussi de facon securitaire si en fait ce nest pas le cas. Le protocole,
considere sous ce point de vue theorique est donc inconditionnellement securitaire.
Certaines considerations dordre pratique compliquent cependant le deroulement
du protocole, comme le montre la section qui suit.
Ces deux problemes peuvent cependant etre resolus. Dabord, puisque les
photo-detecteurs ne sont pas efficace a 100% et quil est probable quils ne detectent
pas un photon, certains photons envoyes par Alice seront perdus. De plus, le bruit
a linterieur du photo-detecteur peut causer une fausse detection, cest-a-dire que
le photo-detecteur detecte un photon alors quaucun photon na ete envoyes par
Alice. Il sagit alors dun dark count. Ces imprecisions entranent necessairement
des incoherences dans les donnees dAlice et de Bob, et ce meme sil ny a pas eu
espionnage sur le canal quantique. Ainsi, si Alice et Bob rejettent leurs donnees des
quils identifient une erreur, ils ne reussiront alors probablement jamais a echanger
une clef secrete en suivant ce protocole. Pour remedier a ce probleme, il faut ajou-
ter une etape supplementaire au protocole, soit une etape afin de permettre a Alice
et a Bob de corriger les erreurs dans leurs donnees. Pour ce faire, Alice et Bob
doivent executer via le canal classique un protocole de correction des erreurs. La
section qui suit detaille le protocole tel que choisie par Bennett et Brassard [2]
pour leurs experiences de 1989.
Ensuite, pour resoudre le deuxieme probleme, plutot que de produire des im-
pulsions lumineuses contenant exactement un photon, on produit des impulsions
lumineuses de tres faible intensite , ou est le nombre de photons par impulsion.
Ces impulsions lumineuses sont tres faciles a obtenir en utilisant un laser [5] et
le nombre moyen de photons par impulsion pour ces impulsions suit une distri-
bution de Poisson. Toutefois, en procedant ainsi, Eve aura la chance, chaque fois
quune impulsion lumineuse contient plus dun photon, de devier vers son appareil
un des photons de cette impulsion et de mesurer la polarisation selon lune des
deux bases. Ce type dattaque connue sous le nom de beam splitting attack est
tout a fait indetectable tant et aussi longtemps quEve prend soin de toujours
laisser les photons non-devies de limpulsion atteindre lappareil de Bob sans etre
perturbes, et que lintensite de limpulsion lumineuse est assez intense. Il est im-
portant de noter quen fait, plus lintensite dune impulsion lumineuse est grande
11
plus elle aura un comportement semblable aux signaux classiques. Par ailleurs,
la probabilite quEve reussisse a devier un ou plusieurs photons dun impulsion
2
donnee sans causer de perturbation aux autres photons est egale a 2 lorsque
est suffisamment petit [2]. Ainsi, afin dempecher le plus souvent possible Eve de
mener son attaque, on doit choisir << 1, cest-a-dire quAlice doit envoyer a
Bob des impulsions lumineuses de tres faible intensite. Ceci diminue certainement
les chances que Bob detecte un photon, mais les chances quEve et Bob detectent
tous deux un photon sont encore plus faibles. Toutefois, meme si la valeur de est
tres petite, Eve gagnera toujours de linformation en menant cette attaque. Par
exemple, si = 103 alors Eve connatra toujours 0,025% 2 des donnees dAlice
et Bob. Il devient donc impossible pour Alice et Bob dinterpreter leurs donnees
pour obtenir directement une clef secrete. En ajoutant au protocole une procedure
de purification (amplification privacy protocol), Alice et Bob pourrons alors ob-
tenir une clef secrete dont Eve ne connatra au maximum quune fraction de 1 bit
dinformation.
12
Cette derniere etape est necessaire afin dempecher Eve, qui a la possibilite decouter
les message sur le canal classique, de gagner de linformation lors de cette procedure.
Par ailleurs, cette procedure ne permet pas de corriger toute les erreurs, comme
dans le cas de blocs contenant un nombre pair derreurs. Alice et Bob doivent
donc repeter la procedure jusqua ce quil ne reste plus que tres peu derreurs
dans lensemble de leurs donnees. Puis, pour corriger ces quelques erreurs, ils
doivent completer les etapes precedentes en comparant, lun apres lautre, des
sous-ensembles de donnees, pas necessairement de meme taille, pris aleatoirement
parmi lensemble de toutes leurs donnees et repeter la procedure jusqua ce quen-
viron 20 sous-ensembles consideres successivement soient tous de meme parite. A
ce point les donnees dAlice et Bob concordent, mais ils leur est impossible de
determiner si les erreurs corriges etaient dues aux photo-detecteurs ou a lespion-
nage. Ils ne peuvent donc pas determiner sil y a eu espionnage ou non. Ce qui est
une grande perte selon mon opinion car dans tous les cas, Alice et Bob ne peuvent
pas utiliser toutes leurs donnees pour produire leur clef et devront en sacrifier
un bonne partie pour obtenir une clef secrete. Ils doivent donc supposer en tout
temps que leurs donnees ne sont que partiellement secretes (clef impure) et essayer
de determiner quelle est la quantite dinformation quEve possede de ces donnees.
Bennett et Brassard dans [2] donnent une borne superieure pour cette valeur:
k=N + 2p bits,
2
ou N est le nombre de photons recus et mesures dans la bonne base par Bob,
est lintensite des impulsions lumineuses, et p est le taux estime derreurs dans
les donnees. Ainsi, si la longueur de la clef impure x est n, k est le nombre de
bits dinformation que possede Eve et s > 0 est un parametre de securite, alors
comme demontre dans [4], il suffit quAlice et Bob choisissent aleatoirement une
fonction de condensation h : {0,1}n {0,1}nks , telle que linformation quEve
s
aura de h(x) sera seulement de 2ln 2 bits. Le choix et lapplication de cette fonction
de condensation constitue maintenant la derniere etape du protocole et est la
procedure de purification.
Voyons maintenant quels sont les resultats obtenus des experiences faites a
partir du premier prototype operationnel base sur cette version du protocole.
13
Fig. 5 Cristal de calcite
14
Fig. 6 Un canal quantique et les appareils des deux utilisateurs
Supposons que lon desire faire une experience avec ce prototype. On peut dabord
effectuer le calcul theorique suivant: si 85000 impulsions lumineuses sont produites
avec une intensite de = 0,17, alors 14167 photons seront envoyes a Bob. Les
photo-detecteurs de Bob netant efficaces qua 9%, alors seulement 1275 photons
devraient etre detectes. Toutefois, Bob ne faisant le bon choix de base quune fois
sur deux, alors seulement 638 photons pourront etre utilises comme donnees.
En fait, Bennett et Brassard ont realise cette experience le vendredi 13 (!) avril
1990 et ont obtenu les resultats suivant: 640 photons furent recus correctement et
15
dans la bonne base par Bob. Les donnees dAlice contenaient 242 bits de valeur 1
pour ces 640 bits correspondant (la distribution nest pas uniforme). Les 640 bits
de donnees de Bob contenaient 28 erreurs soit un taux derreur de 4.375%. Apres
la correction de ces 28 erreurs, Alice et Bob avaient estime que le taux derreur
etait de 4.5%, et le nombre de bits restants etait de 419. Alice et Bob avaient
ensuite estime quEve possedait
0,17
k = 640 + 2(0,045) = 112 + 28 = 140 bits dinformation,
2
4 Conclusion
Lors des analyses faites dans les sections precedentes, nous navons pas considere
la possibilite quEve puisse intercepter et modifier des messages echanges entre
Alice et Bob par le canal classique. En fait ce probleme ne releve pas de la crypto-
graphie quantique, mais un partenariat entre la cryptographie classique et la cryp-
tographie quantique permet de resoudre ce probleme dune facon inattendue. La
cryptographie classique propose, pour assurer lauthenticite des messages echanges
par le canal classique, quAlice et Bob utilise lalgorithme de Wegnam-Carter [3, 5]
pour etiqueter leurs messages. Cet algorithme necessite une clef secrete partagee
par Alice et Bob qui sera utilisee bit par bit et devra etre renouvelee. La crypto-
graphie quantique propose donc de permettre a Alice et Bob dechanger cette clef
secrete chaque fois quil sera necessaire, en plus de toutes les autres clefs quAlice
et Bob auront besoin pour chiffrer leurs messages, et ce dune facon tout a fait
securitaire. Toutefois, un tout petit probleme subsiste: il faut, afin dinitier ce cycle
dechange infini, quAlice et Bob aient prealablement et dune facon quelconque,
16
echanger une toute petite clef qui sera la premiere a etre utilisee pour lalgorithme
dauthentification!
References
[1] C.H. Bennett. Quantum cryptography: Uncertainty in the service of privacy.
Science, 257:752753, August 1992.
[2] C.H. Bennett, G. Bessette, G. Brassard, L. Salvail, and J. Smolin. Experi-
mental quantum cryptography. Advanges in Cryptology - Eurocrypt 90 Pro-
ceedings, pages 351366, May 1990.
[3] C.H. Bennett, G. Brassard, and A.K. Ekert. Quantum cryptography. Scien-
tific American, pages 5057, October 1992.
[4] C.H. Bennett, G. Brassard, and J.-M. Robert. Privacy emplification by public
discussion. SIAM Journal on Computing, 2:210229, April 1988.
[5] G. Brassard. Modern Cryptology, volume 325 of Lecture Notes in Computer
Science, chapter 6, pages 7990. Springer-Verlag, 1988.
[6] G. Brassard. Quantum information processings: The good, the bad and the
ugly. Advances in Cryptology - CRYPTO 97, pages 237241, 1997.
[7] J.-P. Delahaye. Cryptographie quantique. Pour la science, pages 101106,
Aout 1992.
[8] A.K. Ekert. What is quantum cryptography. Disponible a ladresse internet
donnee plus bas, March 1995.
[9] A.K. Ekert. Quantum cryptography for keepings secrets. New Scientist, pages
2428, January 1993.
[10] A. Muller, J. Breguet, and N. Gisin. Experimental demonstration of quantum
cryptography using polarized photons in optical fibre over more than 1km.
Europhysics Letters, 23:383388, August 1993.
Une version de [2] ainsi que les images du present document sont disponibles en
deux parties aux adresses http://www.cyberbeach.net/~jdwyer/quantum crypto/
quantum1.htm, et http://www.cyberbeach.net/~jdwyer/quantum crypto/quantum2.htm.
Le texte de [8] est disponible a ladresse http://www.qubit.org/intros/crypt.html.
Une bibliographie tres complete sur la cryptographie quantique ecrite par Gilles
Brassard et revue par Claude Crepeau est disponible a ladresse http://www.cs.mcgill.ca/
~jford/crepeau/CRYPTO/Biblio QC.html. Finalement, le tutoriel de F. Hendle
utilise pour lexemple de la section 3.2 est disponible a ladresse http://www.cs.dartmouth.edu/
~henle/Quantum/ et le document ecrit par J. Ford accompagnant ce tutoriel est
disponible a ladresse http://www.cs.dartmouth.edu/~jford/crypto.html.
17